Ботнет DarkIRC активно атакует серверы Oracle WebLogic

Ботнет DarkIRC активно атакует тысячи незащищенных серверов Oracle WebLogic через уязвимость удаленного выполнения кода CVE-2020-14882 , исправленную компанией Oracle два месяца назад.

По данным Shodan, в настоящее время через интернет доступно 3 тыс. серверов Oracle WebLogic. Как сообщают специалисты Juniper Threat Labs, киберпреступники атакуют потенциально уязвимые серверы Oracle WebLogic с помощью как минимум пяти разных образцов вредоносного ПО. Однако наибольший интерес для исследователей представляет вредоносное ПО DarkIRC, которое можно купить на хакерском форуме всего за $75.

Продавец под псевдонимом Freak_OG начал рекламировать вредонос на форуме Hack Forums в августе 2020 года. Однако исследователи не уверены в том, что оператор вредоносного ПО DarkIRC, попавшегося в их ханипоты, и Freak_OG – один и тот же человек. Возможно, оператором ботнета является покупатель или партнер Freak_OG.

Вредоносное ПО доставляется на атакуемые серверы с помощью скриптов PowerShell, выполняющихся через HTTP GET-запросы. Полезная нагрузка представлена в виде двоичного кода с функциями обхода средств анализа и песочницы. Помимо прочего, перед разархивированием вредоносное ПО проверяет, не будет ли он запущен на виртуальной машине VMware, VirtualBox, VBox, QEMU или Xen, и при наличии среды песочницы процесс запуска DarkIRC не начинается.

DarkIRC обладает множеством функций, в том числе функциями кейлоггинга, загрузки файлов и выполнения команд на зараженном сервере, кражей учетных данных, распространения на другие устройства через MSSQL и RDP (брутфорс), SMB или USB, а также запуска нескольких версии DDoS-атак.

Злоумышленники также могут использовать бот в качестве биткойн-клиппера, позволяющего им в реальном времени менять адреса биткойн-кошельков, скопированные в буфер обмена, на подконтрольные им адреса.